情報セキュリティ教育の要はシュレッダーにあり
情報セキュリティというと、すぐにパソコン、社内データベース、インターネットの話になりがちだ。確かにデジタルデータは改ざんや持ち出しが容易なだけに、これはこれで重要なトピックスだ。今回は、情報セキュリティを少し変わった角度から論じてみたい。話の主役はシュレッダーである。
読者の皆さんも、シュレッダーを普段から使用されていると思う。シュレッダーの使用目的は、仕事に携わっている人であればよくご存じだろう。ところが、仕事の現場では、このシュレッダーが本来の目的で使われていないことがよくある。
●シュレッダーは紙ゴミ裁断機ではない!
シュレッダーは何をするものか。書類を細かく裁断する機械…というのは物理的な説明であって、最大の目的は機密情報の漏洩リスクをヘッジすることである。ところが、案外、単に紙ゴミを裁断することが目的であると錯覚している人が多いのだ。仕事に不慣れな新人社員や仕事のできない人、つまり仕事の基本スキルが低い人に特にこの傾向が強い。
その会社がどんな商売をしていても、顧客情報の取り扱いは重要である。会社である限り顧客は存在する。顧客情報は現代の企業にとって代表的な機密情報だと言ってよいだろう。
顧客リストが社外に流出すると、企業の存続危機にまで発展することも稀ではない。最近の事例でも、大手コンビニエンスストアの顧客情報が相次いで社外に流出し、各社とも何億円もの費用を掛けて善後策を打ち、顧客への賠償を行っている。また、大手ネット通販会社が70万人もの顧客情報を流出させ、世間で騒がれたことも耳新しい。
大手企業だから何億円もの費用負担が可能なのかもしれないが、一般の中小企業ではその十分の一でも費用負担が発生すると、たちまち企業存亡の危機になってしまう。たとえ費用負担を乗りきっても顧客からの信用は落ち込み、元に戻すには多大な努力と時間が必要になるだろう。
そのように大きなリスクを抱えた顧客情報の流出に対して、中小企業における危機意識はまだまだ低い。机の上に給与のリストや重要な顧客のリストがおきっぱなしにされているのをよく見かける。世の中が情報セキュリティに厳しくなりつつある現在、厳密な機密保持レベルが今後のビジネス社会で要求されるのは言うまでもない。情報セキュリティに関して中小企業の現実は、まだよちよち歩きの段階であると言える。
仮に社内の顧客情報を全部集めて束にすれば、それを見た大抵の社員は、その重要性を直感的に理解できるだろう。ところが、日々仕事をしている現場では、顧客情報が仕事の流れの中のいたるところに存在しているにもかかわらず、それらの顧客情報についてはあまり関心を払う人がいない。どちらも同じ顧客情報だが、日常的に接していると、知らず知らずのうちに感覚が麻痺してしまうのだ。
日常業務の中に転がっている顧客情報にはどのようなものがあるだろうか。各種の伝票、アンケート表、提案書、見積書…もちろん各種の議事録や企画書などもそうだ。そう考えて行くと、営業や営業管理、経理、総務などの部門においては、日常取り扱っている書類や情報類はかなりの割合で顧客情報や機密情報を含んでいる。つまり、これらの部門から廃棄される書類は、機密情報が満載されていると考えた方がよい。
そこでシュレッダーの登場である。廃棄する書類から顧客情報などの機密情報の流出を防ぐには便利な機械である。書類をシュレッダーに掛けることはちょっと手間だが、一旦裁断されるとその書類を復元することはまず不可能。これでひと安心となるわけだ。
ここで、シュレッダーの功罪について少し考えてみよう。“功”については明確である。先にも書いたが、機密情報を流出から防いでくれるという点である。
では、“罪”は何か? これは中小企業経営から考えると、案外コストが掛かることだ。シュレッダーの機械の値段や電気代、ゴミ袋などにもコストは掛かっているが、一番大きいのは人件費である。膨大な紙ゴミの処理に社員を充てれば、この人件費がバカにならないことは容易に想像がつく。単なるゴミの裁断などに貴重な人件費を払ってはいられないのだ。
●シュレッダーを軸に情報を分類・整理する
しかし、機密情報の流出防止には、廃棄書類をシュレッダーに掛けることは有効である。ではどうすればよいか。廃棄する書類をその機密度によって分類し、廃棄の仕方を変えるのがベストだ。機密度が非常に高い書類は、廃棄する人自らが自分でシュレッダーに掛ける。これで確実に情報流出が防止できるのである。
その次に機密度が高い書類は、機密書類の廃棄を請け負っている専門業者などを使うのも手だ。業者に廃棄手数料を支払う必要はあるが、社員が一枚一枚シュレッダーに掛けるよりは遥かに安い費用で済む。そして、機密事項を含まないものは裏紙としてリサイクルしたり、廃品回収業者に出せばよいだろう。
さて、今回シュレッダーを取り上げたのは、何も書類廃棄のノウハウを皆さんに披露したいからではない。今まで述べてきた文脈の中に、ITを活用していく上での情報セキュリティの課題が潜んでいるからだ。その課題とは、「情報の分類」と「セキュリティ意識」である。
「情報の分類」については、書類の機密度によって取り扱いを変えなければならないと述べた点に再度注目してほしい。これは書類廃棄の場面だけではなく、その書類を作成するときから廃棄するまでの全ての時点でできなくてはならないことである。IT活用が当たり前の世の中では、印刷は容易で、いくらでも同じ書類を作れる。機密度が高い書類ならば、ソースデータの管理から厳格に行い、印刷すること自体に制限を付けるなどの配慮が必要だ。逆に機密性の低い情報に対しては、管理の厳格度を下げなければ取り扱いが不便になり、かえって無用なコスト負担が増大することになる。
そんなことは当たり前だと言われる読者も多いだろう。しかし、現在の中小企業では現にこれができていない。書類の機密度を管理せず、顧客リストを平気で裏紙としてメモ用紙に使っていたり、反対に重要度の低い書類を全てシュレッダーに掛けていたりするのが実態なのである。
ITを活用すると書類の制作量が増え、ペーパーレスどころかかえって紙が増える傾向がある。書類を機密度で分類し、それぞれに応じた的確な取り扱いをするという習慣を全社に植え付けなければ、機密情報流出の機会が増えたり、書類廃棄コストが膨張しかねない。
次に「セキュリティ意識」である。これは、自分で機密書類をシュレッダーに掛けるということを各自に徹底させれば、自然に全社的なセキュリティ意識を育むことができる。先輩社員が、日々の業務を通じて「この種類の書類はシュレッダーに掛けねばならない」と後輩にキチンと伝えていくことが、セキュリティ教育の基本の基本なのである。小さなことと思われるかもしれないが、このツボを外してセキュリティ意識を持つ社員を育てることは、まずできないと心得ていただきたい。
●アナログで体感してこそ、ITの情報セキュリティが可能になる
シュレッダーはセキュリティを自分の行動で体感することのできる最も身近な道具の一つだ。頭で理解させるだけでなく、行動を通じて体感させることが最も効果的なのは言うまでもない。
余談だが、昔、シュレッダーが無かった時代には、機密書類は全て手で破って捨てていた。多くの大企業では、書類の破り方、捨て方にも決まり事があった。例えば書類は機密度が高いほど細かく破る。破る方向は、書類の縦と横の両方から破る(つまり十文字に破る)。機密度の高い書類は、破ったものを2つ以上のゴミ箱に別けて捨てる…などである。このようなことを徹底するのは実際骨が折れることだったが、多くの大手企業ではキチンと実行していた。当時でもしっかりしていた会社は、セキュリティという概念はまだ無かったが、仕事の基本スキルとして情報の取り扱いを重用視していたということだろう。時代は変わっても仕事の基本スキルは変わらないはずである。
今ではシュレッダーは一般のオフィスに普及し、パソコン活用も当たり前になった。楽になった分、セキュリティ意識を減退させては本末転倒である。省力化が進めば進むほど、アナログな日常の行動、意識に漏れはないか、いまいちどチェックしていただきたいものである。
(本記事は、「SmallBiz(スモールビズ)※」に寄稿したコラム「近藤昇の『こうして起こせ、社内情報革命』」に、「第68回 情報セキュリティ教育の要はシュレッダーにあり」として、2004年2月17日に掲載されたものです。)
※日経BP社が2001年から2004年まで運営していた中堅・中小企業向け情報サイト